Faille SFRBox !!!

Tomzz · Le 06/02/2012, à 15:27

Bonjour,
Je viens de tomber sur un article qui m'a fais dresser les cheveux sur la tête:
La Fédération France Wifi déconseille l'activation des SFRWifi
On en parle ici aussi.

Qu'en pensez vous ?

Ne parvenant pas à réagir sur leur site je me suis fendu d'un mail a leur président.

Bonjour,
Je ne comprend pas le sens de votre alerte.
Le réseau wifi ouvert des SFRBox comme celui de leur partenaire Fon utilise la même IP mais est totalement séparé du réseau local.
Il n'y a pas de risque que le visiteur accède à un PC local ou à l'administration de la Box.
Pour ce qui est d'une utilisation illégale de la connexion, le visiteur doit s'identifier avec ses propres identifiants (SFR, Fon...) et le prestataire (SFR, Fon...) conserve les log de ces connexions.
Et cas de litige on peut donc identifier la personne ayant utilisé le Hotspot.
Free, ici aussi, présente un avantage: les connexions au FreeWifi attribuent une IP différente, mais même sans ça on le visiteur ayant accédé au hotspot pourra être identifié quelque soit l’opérateur.
Le seul conseil de sécurisation important que je vois c'est de créer un mot de passe fort pour l’accès à son compte SFR, car on se retrouve responsable de l'utilisation de toute connexion effectuée à l'aide de ses identifiants.
Les réseau ouverts SFR, Fon FreeWifi sont très utiles lorsque l'on se déplace, cela me désole de voir conseiller leur désactivation, surtout sur un site visiblement défenseur du logiciel libre et donc de son aspect comunautaire.

jerome33 · Le 06/02/2012, à 17:10

L'identification se fait par un service chillispot chez SFR si je me souvient bien. Serveur radius, celui qui se connecte est en effet parfaitement identifié.
Je n'avais envisagé la question que quant à la sécurité du réseau privé. Mais c'est vrai qu'hadopi par exemple identifie les internautes par l'adresse IP. Comme le propriétaire n'est pas averti des connections externes, ça va être très compliqué de se dépatouiller des accusations....

obibann · Le 06/02/2012, à 17:11

La vraie faille, c'est d'avoir fait une loi sur la négligence caractérisée et ainsi obliger les FAI à créer des features supplémentaires qui, techniquement, ne servent à rien.

Tomzz · Le 06/02/2012, à 17:30

Bon, mon mail n'est pas parti, l'adresse est invalide, je vais en essayer d'autres.

Sinon, sans partir sur une discussion sur le niveau de stupidité de la loi Hadopi et de son application, on peut lire ça sur le Wiki Fon

Epehj · Le 06/02/2012, à 18:01

Salut,

Je crois que le problème mis en évidence est différent : ici, on parle d'accéder à des services en lignes, type webmail, qui ne font qu'une vérification de l'ip et pas du login/mdp.
Par exemple, tu utilises ton webmail qui ne fait pas les vérification adéquates, pendant ce temps quelqu'un se log sur ton hotspot, vas sur l'adresse de ton webmail, et comme vous avez la même ip, ben il a pas besoin de s'identifier.
Enfin c'est ce que j'ai compris de l'article..

Tomzz · Le 06/02/2012, à 18:38

Epehj a écrit :

Salut,
Je crois que le problème mis en évidence est différent : ici, on parle d'accéder à des services en lignes, type webmail, qui ne font qu'une vérification de l'ip et pas du login/mdp.
Par exemple, tu utilises ton webmail qui ne fait pas les vérification adéquates, pendant ce temps quelqu'un se log sur ton hotspot, vas sur l'adresse de ton webmail, et comme vous avez la même ip, ben il a pas besoin de s'identifier.
Enfin c'est ce que j'ai compris de l'article..

Oui mais ce point est un faux problème, a ma connaissance, seul Orange (encore) permet d’accéder a ses divers comptes sans s'identifier depuis sa LiveBox.
SFR, Fon ne sont pas touches par cette faille, et on ne peut pas accéder a un compte Orange depuis une SFRbox sans être identifier (au passage si la reconnaissance ne se fait que sur l'IP bonjour la faille chez Orange)

Sinon la FFW m'a répondu en ces termes:

FFW a écrit :

Le 6 février 2012 16:32, a écrit :
> Bonjour,
> Je ne comprend pas le sens de votre alerte.
> Le réseau wifi ouvert des SFRBox comme celui de leur partenaire Fon utilise
> la même IP mais est totalement séparé du réseau local.
> Il n'y a pas de risque que le visiteur accède à un PC local ou à
> l'administration de la Box.
en interne oui, il y a une séparation. Mais de l'extérieur sur internet
cela est la même IP que la box, d'où un souci potentiel.
Car quand SFR aura une commission rogatoire pour dire quel abonné
avait telle ip à l'instant t, ce sera l'identité du possesseur de la box
qui sera donné. Plusieurs cas nous ont déjà été remontés.
Les réseaux SFR Wifi Public ou Fon étaient actifs.
Et là, merci SFR/Fon de mettre l'embarras à l'abonné.

> Pour ce qui est d'une utilisation illégale de la connexion, le visiteur
> doit s'identifier avec ses propres identifiants (SFR, Fon...) et le
> prestataire (SFR, Fon...) conserve les log de ces connexions.
> Et cas de litige on peut donc identifier la personne ayant utilisé le
> Hotspot.
>
Justement, SFR/Fon donne t'il le log de ces connexions à ceux qui le demandent ?
et si il y a plusieurs personnes connectées, comment cela se passe ?
C'est une liste d'identifiants qui est donnée ?
Quoi qu'il en soit, l'abonné est mis en défaut en premier lieu, et
cela est difficile
pour lui :
1) de faire face à la situation de culpabilité dont il est accusé
2) d'avoir les réponses de SFR/Fon pour le descréditer.

> Free, ici aussi, présente un avantage: les connexions au FreeWifi
> attribuent une IP différente, mais même sans ça on le visiteur ayant accédé
> au hotspot pourra être identifié quelque soit l’opérateur.
Oui, une IP propre à l'identifiant donné sur le portail et qui ne correspond pas
à l'ip de la box de l'abonné.

> Le seul conseil de sécurisation important que je vois c'est de créer un mot
> de passe fort pour l’accès à son compte SFR, car on se retrouve responsable
> de l'utilisation de toute connexion effectuée à l'aide de ses
> identifiants.
Oui, les mots de passe par défaut ne sont jamais une bonne solution, mais
beaucoup d'abonnés ne les changent pas.
> Les réseau ouverts SFR, Fon FreeWifi sont très utiles lorsque l'on se
> déplace, cela me désole de voir conseiller leur désactivation, surtout sur
> un site visiblement défenseur du logiciel libre et donc de son aspect
> communautaire.
>
Logiciel libre et communauté ne veut pas dire payer pour les autres en
cas de souci
légal.
La FFW recommande de déactiver ces réseaux tant que SFR n'aura pas résolu
le souci d'usage de l'IP de l'abonné.

> Source sur le wiki Fon:
> http://wiki.fon.com/wiki/FAQ:Neuf_Wifi_ … _ligne_.3F
Oui. Justement, comme dit précédemment, seule une liste de personnes est donnée
D'après les CGV des FAI, l'abonné est responsable de sa connexion
internet de l'usage qu'il
en fait. Lisez bien celle de SFR...
Cdlt,
--
FFW

J'invite celui qui m'a répondu ici pour voir...

Dernière modification par Tomzz (Le 06/02/2012, à 18:59)

Tomzz · Le 06/02/2012, à 19:01

Ma réponse:

Merci pour votre réponse rapide.
J'ai fais état de votre article sur le forum Ubuntu-fr si cela vous intéresse je serai heureux que vous veniez en débattre à cette adresse: http://forum.ubuntu-fr.org/viewtopic.php?id=813811
Sinon, je comprend vos argument mais peut on parler d'alerte sécurité concernant les Hotspot ouverts ?
Je vois deux soucis,
un administratif, les CGU de SFR qui (je ne les ai pas lus) proposent un service sans en supporter les conséquences . Je me demande ce que dirai un juge face a un prévenu qui a juste laissé le Hotspot par défaut et par ailleurs correctement sécurisé sa connexion privée.
L'autre est d'ordre légal, comment peut-on se contenter d'un IP pour identifier une personne.
Mais je n'y vois aucune faille technique.

> Logiciel libre et communauté ne veut pas dire payer pour les autres en
> cas de souci
> légal.
> La FFW recommande de déactiver ces réseaux tant que SFR n'aura pas résolu
> le souci d'usage de l'IP de l'abonné.
Non, être partisan du logiciel libre ne veut pas dire payer pour les autres mais lorsque l'on se sent un peu concerné, peut vouloir dire défendre cette idée de communauté malgré d’hypothétiques problèmes d’interprétation d'une (mauvaise) loi.
En l’occurrence présenter ce problème sous un jour purement sécurité informatique en occultant que le problème ne viens pas du Wifi communautaire mais bien d'une loi stupide et de CGU peut être abusive d'un opérateur ne me parait pas être une bonne solution.
Cordialement.

valAa · Le 06/02/2012, à 19:22

C'est clair que je vois pas trop comment cela pourrait être considéré comme une faille de sécurité.
À part si on utilise la définition de "sécurisation de ligne" de l'HADOPI, mais bon...
C'est plus un risque légal, ou de se faire bannir de réseaux divers.

http://www.zdnet.fr/actualites/une-fail … xtor=RSS-1

On savait déjà une personne tierce qui se connecte sur un hotspot hérite automatiquement de l'adresse IP de l'hébergeur, en l'espèce le propriétaire de la box. Mais la Fédération pointe un autre risque.

Donc si on le savait déjà, qu'est-ce qui est nouveau ?

"Des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... qui identifient l’utilisateur par l’adresse IP de sa connexion" peuvent être exploités par un attaquant distant sur le compte du possesseur de la box.

La faille est alors dans les services qui utilisent une authentification par IP, c'est un peu n'importe quoi comme méthode. C'est eux qu'il faut alerter. Le terme "exploités par un attaquant distant" est un peu fort ;-)
Bon, sinon si vous pouviez évitez de trop ébruiter cette pseudo-faille, j'en ai besoin des SFR hotspot moi

Dernière modification par valAa (Le 06/02/2012, à 19:25)

SyrusFFW · Le 06/02/2012, à 19:47

Tomzz a écrit :

Epehj a écrit :
Salut,
Je crois que le problème mis en évidence est différent : ici, on parle d'accéder à des services en lignes, type webmail, qui ne font qu'une vérification de l'ip et pas du login/mdp.
Par exemple, tu utilises ton webmail qui ne fait pas les vérification adéquates, pendant ce temps quelqu'un se log sur ton hotspot, vas sur l'adresse de ton webmail, et comme vous avez la même ip, ben il a pas besoin de s'identifier.
Enfin c'est ce que j'ai compris de l'article..
Oui mais ce point est un faux problème, a ma connaissance, seul Orange (encore) permet d’accéder a ses divers comptes sans s'identifier depuis sa LiveBox.
SFR, Fon ne sont pas touches par cette faille, et on ne peut pas accéder a un compte Orange depuis une SFRbox sans être identifier (au passage si la reconnaissance ne se fait que sur l'IP bonjour la faille chez Orange)

Regardez http://internetplus.fr/utilisateurs/ et quels sont les FAI qui l'utilisent et à quoi cela peut servir.
Bons nombres d'abonnés SFR, Orange, Bouygues ont eu des factures salées sur le paiement de services en ligne.

Pourquoi ? car le client est identifié par son IP de son FAI.
Imaginez que vous utilisez la connexion d'autrui (donc son IP attribuée par son FAI) sur ce genre de service.
Faites l'essai sur le webmail orange depuis la même connexion, vous verrez le souci...

Tomzz · Le 06/02/2012, à 22:15

SyrusFFW a écrit :

...Pourquoi ? car le client est identifié par son IP de son FAI.
Imaginez que vous utilisez la connexion d'autrui (donc son IP attribuée par son FAI) sur ce genre de service.
Faites l'essai sur le webmail orange depuis la même connexion, vous verrez le souci...

Effectivement chez Free je peux activer cette option (ce que je n'ai pas fais), j'avais oublié.

Si faille il y a c'est a ce niveau, et c'est plus qu'une faille et c'est a attribuer au service internet+ (rien que le nom m'amuse) et pas au Wifi communautaire.
Quelqu'un pourrai tester si il peut utiliser ce service depuis sa connexion hotspot public ?

kironux · Le 07/02/2012, à 00:28

Je suis chez Orange, et il n'y a pas d'identification automatique, on reconnait tes comptes, on te les affichent, certes, mais tu dois entrer un mot de passe (+ gestion habituelle de cookie,...)

Pour les Wi-Fi "ouverts" (je parle des Wi-Fi où il faut avoir un login opérateur pour utiliser le réseau), il y a des systèmes permettant de profiter du net sans entrer aucun identification, tant que la résolution de nom est active, c'est ok, ça peut-être un peu laborieux, mais ça reste possible.

Tomzz · Le 07/02/2012, à 22:10

Bonjour,
Sfr a répondu aujourd'hui:

Ce mardi, l'opérateur a tenu à démentir vigoureusement l'alerte de l'association. SFR rappelle d'abord qu'il n'y a rien de nouveau dans le fait qu'une seule et même adresse IP soit utilisée pour la connexion de l'utilisateur principal et d'un tiers. Mais ce dernier soit obligatoirement s'identifier avec un login.
Reste la question d'Hadopi. SFR nous précise que pour l'utilisation publique du Wi-Fi, les ports permettant de faire du P2P sont bloqués, ce qui permet de protéger le titulaire de l'abonnement contre des téléchargements réalisés à son insu. P2P mais pas le direct download, même si télécharger un fichier via le wi-fi communautaire par ce biais doit être douloureux, vu le débit partagé...
Même dans ce cas, SFR nous précise qu'il est possible de recroiser les données pour savoir si un tiers identifié a utilisé la connexion Wi-Fi publique de la box pour télécharger tel ou tel fichier.

Pour ce qui est de Fon, on a accès aux log de connexion depuis l'interface en ligne, et on y voit le pseudo de celui qui c'est connectée, l'heure précise, la durée et les volumes de données transférées.

Sinon la FFW m'a répondu hier en ces termes:

> Merci pour votre réponse rapide.
>
> J'ai fais état de votre article sur le forum Ubuntu-fr si cela vous
> intéresse je serai heureux que vous veniez en débattre à cette adresse:
> http://forum.ubuntu-fr.org/viewtopic.php?id=813811
>
Je vois.
> Sinon, je comprend vos argument mais peut on parler d'alerte sécurité
> concernant les Hotspot ouverts ?
Oui car cela se passe à l'insu des abonnés.
> Je vois deux soucis,
> un administratif, les CGU de SFR qui (je ne les ai pas lus) proposent un
> service sans en supporter les conséquences . Je me demande ce que dirai un
> juge face a un prévenu qui a juste laissé le Hotspot par défaut et par
> ailleurs correctement sécurisé sa connexion privée.
La connexion internet mise à disposition par votre FAI est sous
votre responsabilité.
> L'autre est d'ordre légal, comment peut-on se contenter d'un IP pour
> identifier une personne.
Pour l'instant, les juges et la HADOPI demandent aux FAI "qui était l'abonné
qui avait cette IP à cet instant donné"

> Mais je n'y vois aucune faille technique.
La faille est que SFR ne donne pas une IP spécifique à l'utilisateur du spot.

> Logiciel libre et communauté ne veut pas dire payer pour les autres en
> cas de souci
> légal.
> La FFW recommande de déactiver ces réseaux tant que SFR n'aura pas résolu
> le souci d'usage de l'IP de l'abonné.
>
> Non, être partisan du logiciel libre ne veut pas dire payer pour les autres
> mais lorsque l'on se sent un peu concerné, peut vouloir dire défendre cette
> idée de communauté malgré d’hypothétiques problèmes d’interprétation d'une
> (mauvaise) loi.
Oui pour la communauté, mais avec le minimum requis en matière de sécurité.
> En l’occurrence présenter ce problème sous un jour purement sécurité
> informatique en occultant que le problème ne viens pas du Wifi communautaire
> mais bien d'une loi stupide et de CGU peut être abusive d'un opérateur ne me
> parait pas être une bonne solution.
Pas exactement, un tiers (même identifié par SFR/FON) surfe sur le net
avec votre IP
sans que vous sachiez qui sait, voila où est le problème de sécurité.
Demandez à SFR/FON qui était connecté à un moment donné et dites nous
si vous avez la réponse qui correspond à la liste des connectés.

jerome33 · Le 08/02/2012, à 01:57

Ça me rappelle (un peu hors sujet) le sentiment que j'avais eu en voyant les pubs de SFR vantant les mérites des hotspots par connexions partagées. Qu'un abonné choisisse de partager sa connexion avec des outils appropriés (fon), ok. Que SFR vende à ses nouveaux abonnés la connexion que j'ai déjà payé, ça me dérangeait. Et ici on voit bien ce problème. Ils font la pub vantant la box avec téléphone, tv, accès aux milliers de hotspots, mais c'est bien une connexion qu'ils ont déjà vendu une fois, et dont le titulaire est responsable tout naturellement.

Compte supprimé · Le 08/02/2012, à 18:25

Ce sujet me fait réfléchir
Vu que j'ai activé la fonction Fon de ma neufbox, j'ai posé la question de l'identification des utilisateurs au support Fon. Ils me répondent que je dois voir avec SFR.
Je vais donc demander à SFR.

Comment identifier les utilisateurs de mon hotspot fon ?

xxxxxxxxxxxxxxxxxxxxxxxx
Feb 08 16:25

Bonjour,
Pouvez-vous m'expliquer comment je dois m'y prendre pour connaître les identifiants de ceux qui utilisent mon hotpot Fon.
Il est activé sur ma neufbox de SFR France.

Entre autre raison, il se peut que l'un de ces utilisateurs ne respecte pas la loi Hadopi et que j'en sois responsable.
Il faut que je puisse me justifier.
 
Comments
User photo
Matthieu
Fon

    Bonjour ,

    Merci d'avoir contacté le service clientèle Fon.

    Cette fonctionnalité, ne vous ait pas accéssible via la xzone utilisateur Fon, car pour des raisons de privacité, le traffic existant au niveau de votre point d'accès est sous le contrôle même de SFR/Neuf.

    Fon ne fournit qu ela technologie permettant de partager vortre signal wifi.

    L'ensemble des connections réalisées sur votre hotspot, sont enregistrées, avec la date et l'heure et bien évidemment le login de l'utilisateur.

    Comme ce dernier doit payer d'une façon ou d'une autre, il est assez aisé de retrouver la trace d'un utilisateur profitant du réseau Fon.

    De plus, il est possible techniquement d'enregistrer les logs complets de la connexion en cours, au niveau des boîtiers Neufbox.

    Donc si porblème il y a, il vous faudra donc vous tourner vers SFR pour toute action éventuelle.

    Nous espérons que ces informations vous ont été utiles.
    Pour toute autre question ou information, n'hésitez pas à nous contacter de nouveau.

    Cordialement,
    Matthieu
    Service clientèle Fon

    Pour une meilleure description des nos produits veuillez cliquer sur ce lien:

    http://corp.fon.com/fr

    Notre wiki Fon, qui est la base de donnée globale qui concerne notre entreprise et ses produits est accessible via ce lien:

    http://wiki.fon.com/wiki/fr

February 08, 2012 17:16

Dernière modification par Compte supprimé (Le 08/02/2012, à 18:31)

Compte supprimé · Le 09/02/2012, à 10:24

SFR confirme que c'est bien la même IP qui est utilisée à la fois pour l'abonné et son hotspot SFR. Il est précisé que l'abonné n'a pas accès aux logs de connexion sur sa box. Il faut demander à SFR.
Cela me fait craindre de grandes difficultés en cas d'usage illégal par un client du hotspot.

SFR Assistance : Bonjour et bienvenue sur le service chat.
Client: < span=""><>
Client: Bonjour,

J'ai activé le hotspot wifi sur ma neufbox et je voudrais savoir comment faire pour consulter les connexions qui y sont faites.

D'une part je me demande si cela est utile dans mon quartier, d'autre part, si quelqu'un en fait un usage illégal je veux pouvoir me justifier envers la Hadopi.

Merci d'avance.
Soufiane_EA: Le hotspot Wifi est un réseau public contrôler par SFR , seule le service technique a accès a la base de donnée qui permet de détecter les connexion qui y sont faites , d'une autre part les client peuvent se connecter au réseau SFR avec toutes sécuritévu qu'ils entrent leur identifient et mot de passe client fournis par SFR
Client: Donc je n'ai pas le contrôle de ma box et en cas de problème avec Hadopi je dois vous demander de l'aide.
Client: Dans ce cas je désactive le fonction hotspot.
Soufiane_EA: L'HADOPI ne s'adresseras plus a vous en cas de connexion public , c'est SFR qu'elle s'adressera M , vous êtes responsable seulement de vos connexion Wifi et filaire sur la Box ainsi que de vos identifient confidentiel qui faut pas les communiquer pour éviter une connexion via votre compte
Soufiane_EA: Oui , vous pouvez désactiver le Hotspot vu que SFR a déjà des point d'émission externe
Client: Il me semble que la loi précise que chacun est reponsable de son IP. Or si quelqu'un se connecte au hotspot de ma box, il le fait avec mon IP.
Soufiane_EA: Non , il le fait avec l'IP public SFR
Soufiane_EA: qui diffère complètement de l'&adresse IP fournis a votre abonnement
Client: Ah ! vous voulez dire que ma box ne donne pas la même IP selon que l'on se connecte avec mes identifiants ou avec ceux du hotspot ?
Soufiane_EA: Non je vus explique , la connexion sur le hotspot vous permet d'avoir une IP différente que celle d'une connexion via un modem , le contrôle fait par SFR se base sur l'identifient de connexion
Soufiane_EA: chaque cession correspond a un client abonné chez SFR , donc chaque navigation est lié directement a un client et SFR a une base de donnée qui enregistre les traces de ces connexions
Client: Donc c'est bien la même IP qui est utilisée à partir de ma box.
Client: Que la connexion soit faite avec mes identifiants ou avec ceux de quelqu'un de passage devant chez moi.
Soufiane_EA: Oui
Client: Et bien voilà. Quand Hadopi détectera une acion illégale avec mon IP, elle vous demandera qui est l'abonné. Vous donnerez mes coordonnées
Client: Il faudra ensuite que je vous demande de l'aide pour prouver que ce n'est pas moi.
Soufiane_EA: Mr xxxxxxxxxxxxx
Soufiane_EA: Je vous ai expliquer tout en haut que l'adresse IP fournis par la Box diffère de celle Fournis par le Hotspot Wifi
Soufiane_EA: en étant sur un HotSPOT Wifi Public vous n'êtes pas filter par l'adresse IP mais par l'identifient de connexion
Soufiane_EA: Donc si une manipulation est faite avec une cession ouverte via vos identifient on s'adressera a vous bien sure au cas contraire c'est le client identifié qui seras responsable
Client: Mais je ne vous parle pas d'un hotspot public SFR, il s'agit du hotspot créé par ma neufbox.
Soufiane_EA: Vous ne créer pas de Hotspot en activant le hotspot sur votre Box vous renforcer le signale Public dans votre zone c'est tout !
Client: Donc si quelqu'un se connecte à ce signal émis par ma neufbox, il n'a pas la même IP que moi.
Soufiane_EA: CE n'est pas l'IP qui permet de faire le suivis , sur une connexion public c'est l'identifient d'ouverture de cession de la connexion qui permet de tracer l'utilisateur
Client: Donc il a la même IP que moi ?
Soufiane_EA: oui s'il est connecter sur la même zone et au niveau du même point d'émission il pourras avoir la même adresse IP que vous
Client: Merci pour toutes ces explications et bonne journée

Dernière modification par Compte supprimé (Le 09/02/2012, à 10:28)

jerome33 · Le 10/02/2012, à 00:53

Donc il ne sait pas te répondre.

Ayral · Le 10/02/2012, à 01:05

Le Soufiane_EA en plus, il a une orthographe de m... , il fait pas la différence entre une cession (on cède, on donne, on vend) et une session

Soufiane a écrit :

Je vous ai expliqué tout en haut que l'adresse IP fournie par la Box diffère de celle fournie par le Hotspot Wifi

4 fautes dans une petite phrase; dont 2 pour un seul mot.

Henry de Monfreid · Le 10/02/2012, à 03:47

jerome33 a écrit :

Ça me rappelle (un peu hors sujet) le sentiment que j'avais eu en voyant les pubs de SFR vantant les mérites des hotspots par connexions partagées. Qu'un abonné choisisse de partager sa connexion avec des outils appropriés (fon), ok. Que SFR vende à ses nouveaux abonnés la connexion que j'ai déjà payé, ça me dérangeait.

Sfr ne vend pas ta connexion, au contraire, c'est toi qui la partage. Tu peux parfaitement désactiver le hotspot de ta box, mais tu ne pourras plus te connecter chez les autres.

Tamarou a écrit :

SFR confirme que c'est bien la même IP qui est utilisée à la fois pour l'abonné et son hotspot SFR. Il est précisé que l'abonné n'a pas accès aux logs de connexion sur sa box. Il faut demander à SFR.
Cela me fait craindre de grandes difficultés en cas d'usage illégal par un client du hotspot.

Les datas qui passent par un hotspot SFR ne circulent pas sur le réseau local de l'abonné, mais par un autre réseau local créé par le routeur. L'adresse MAC et le ESSID sont différents.

Dans ce cas le téléchargeur peut être bel et bien être reconnu par son adresse IP au sein du réseau local, correspondant au login/password d'un abonné.

Le vrai problème de sécurité est qu'un pirate peu créer un faux hotspots SFR, où des clients viendront eux mêmes donner leurs identifiants. De mémoire, les identifiants sont les mêmes pour les hotspots, le mail et la console d'administration des comptes clients.

Henry de Monfreid · Le 10/02/2012, à 04:00

Un type qui ne vérifie pas ses sources a écrit :

Des services en ligne comme les webmails, accès à son compte client, ou à Internet+, etc... identifient l’utilisateur par l’adresse ip de sa connexion et pourraient permettre à autrui des abus sur le compte du possesseur de la box.

Quel webmail (à part Orange), quel accès à son compte client se fait par l'adresse IP ?

Je suis dans un appart avec plusieurs PCs, chacun est connecté aux mêmes WEBmails, et pourtant nous avons tous la même IP.

Le type qui a pondu ce billet a-t-il déjà entendu parler de cookies ?

Compte supprimé · Le 10/02/2012, à 09:40

jerome33 a écrit :

Donc il ne sait pas te répondre.

En fait il joue sur la confusion entre "réseau public SFR" et ce que j'appelle le "hotspot de ma box". J'ai du le recadrer deux fois pour lui faire écrire que la connexion au "hotspot de ma box" se fait bien avec mon IP. Ce dont je me doutais vu que c'est expliqué plus haut dans ce sujet. Mais évidemment, si je me connecte sur un autre hotspot SFR, je n'aurai pas l'IP de ma box.

A la suite de cet échange avec SFR j'ai désactivé la fonction hotspot SFR/Fon.

Bien entendu il n'y a aucun risque d'intrusion dans le réseau local, mais je ne veux pas dépendre du bon vouloir de SFR si un jour un internaute de passage utilise mon hotspot pour des actions illégales.
Hadopi leur demandera qui est l'abonné de mon IP utilisée "frauduleusement". Donc SFR répondra que c'est moi. Ensuite je devrai leur demander de rechercher dans les logs de connexion à mon hotspot pour trouver les identifiants du "fraudeur" ... s'ils veulent bien s'en occuper.

De toute façon, j'avais activé cela par principe. Pour partager et favoriser l'utilisation itinérante d'internet et en profiter moi-même, en déplacement, le cas échéant. Mais je suis dans une zone très peu fréquentée et je ne priverai personne en arrêtant. Mais cela est impossible à vérifier car SFR ne communique pas l'usage des hotspots des box à leurs abonnés.

Dernière modification par Compte supprimé (Le 10/02/2012, à 09:56)

jerome33 · Le 10/02/2012, à 17:23

@pinballyoda:

Sfr ne vend pas ta connexion, au contraire, c'est toi qui la partage. Tu peux parfaitement désactiver le hotspot de ta box, mais tu ne pourras plus te connecter chez les autres.

Merci, mais j'avais parfaitement compris cela. Relis bien mon post que tu cites. SFR vends ses box en annonçant que pour trente euros par mois tu as droit à ....adsl....tv....hotspots.... bref ils annoncent que en prenant un abonnement chez eux, ils t'offrent l'accès sur les hotspots des autres abonnés. Et comme tu le dis (et moi aussi, c'était bien l'objet de mon post et ce qui me dérange) en réalité c'est l'abonné qui paye sa connexion, puis la partage. Pas vraiment de mérite pour SFR. (Sauf une gestion des connexion dont on voit bien les limites ici.).

Quel webmail (à part Orange), quel accès à son compte client se fait par l'adresse IP ?

Tu fais bien de signaler l'exception orange quand même. Si le propriétaire de la ligne n'a qu'un compte mail, tous les ordinateurs connectés à sa box et qui vont sur le portail orange accèdent sans identification au compte du propriétaire. La seule solution est de créer un deuxième compte pour que la page d'accueil propose les deux compte et demande donc une identification. De plus tu n'as pas une connaissance exhaustive du web et il est fort possible que d'autres services fassent la même bêtise.

Tamarou a écrit :
SFR confirme que c'est bien la même IP qui est utilisée à la fois pour l'abonné et son hotspot SFR. Il est précisé que l'abonné n'a pas accès aux logs de connexion sur sa box. Il faut demander à SFR.
Cela me fait craindre de grandes difficultés en cas d'usage illégal par un client du hotspot.
Les datas qui passent par un hotspot SFR ne circulent pas sur le réseau local de l'abonné, mais par un autre réseau local créé par le routeur. L'adresse MAC et le ESSID sont différents.

Si même SFR dit que l'adresse ip publique est la même.....

tamarou a écrit :

En fait il joue sur la confusion entre "réseau public SFR" et ce que j'appelle le "hotspot de ma box". J'ai du le recadrer deux fois pour lui faire écrire que la connexion au "hotspot de ma box" se fait bien avec mon IP. Ce dont je me doutais vu que c'est expliqué plus haut dans ce sujet. Mais évidemment, si je me connecte sur un autre hotspot SFR, je n'aurai pas l'IP de ma box.

J'ai du mal a saisir s'il joue ou s'il ne comprends pas le problème. En tout cas, à tout relire, le système ne paraît pas fiable. Pas du fait d'SFR qui après tout te donne une possibilité de partager ta connexion facilement. C'est plutôt Hadopi qui est en cause puisqu'elle s’appuie sur une preuve qui n'en est pas une.

Henry de Monfreid · Le 10/02/2012, à 17:44

jerome33 a écrit :

en réalité c'est l'abonné qui paye sa connexion, puis la partage.

Et ça coute combien ? À part quelques euros par an d'électricité en plus ?

La bande passante des hotspots est bridée à 128 kb/s, partagée entre les clients connectés, même si on a qu'un mega, c'est acceptable.

Faut arrêter le délire : SFR a pigeonné des millions de français pendant des décennies avec la téléphonie mobile. Et là vous les traitez de voleurs quand ils vous vendent un accès à des milliers de hotspots pour moins de 10 € par an.

Vous voulez quoi : que SFR tire une deuxième ligne physique (+ une ligne électrique) jusqu'à chez vous, juste pour le hotspot ?

Dernière modification par pinballyoda ㋛ (Le 10/02/2012, à 17:46)

Tomzz · Le 10/02/2012, à 18:20

Bonjour,

pinballyoda ㋛ a écrit :

Vous voulez quoi : que SFR tire une deuxième ligne physique (+ une ligne électrique) jusqu'à chez vous, juste pour le hotspot ?

Pourtant c'est possible, Free le fait, l'IP octroyée pour surfer via freewifi est différente de celle de la box qui fourni le Hotspot.
Sans doute utilisent ils un VPN.
Histoire de remettre les pendules a l'heure, Free est encore une fois meilleurs sur CE point, mais ils réservent le Freewifi aux seuls dégroupés et ça c'est pas cool, il sont moins bien sur CE point la.
Je ne suis pas dégroupé et j'ai les boules

Sinon, sur le fond:

Jerome33 a écrit :

Pas du fait d'SFR qui après tout te donne une possibilité de partager ta connexion facilement. C'est plutôt Hadopi qui est en cause puisqu'elle s’appuie sur une preuve qui n'en est pas une.

Je suis 100% d'accord avec ça.

Tamarou a écrit :

A la suite de cet échange avec SFR j'ai désactivé la fonction hotspot SFR/Fon.

Je trouve ça dommage, tu renonces alors que tu es dans ton droit parce qu'une loi bibon bafoue la présomption d'innocence.
En cas de litige, je me demande quelle serai la réaction d'un juge surtout au vu de l’échange que tu as eu avec le service client SFR.

Perso, j'ai une Fonera et elle restera active, parce que cela m'est utile mais aussi par principe.
Si une loi encore plus stupide viens a interdire les Hotspot j'aviserai en fonction de ce que j'ai a y perdre.

Henry de Monfreid · Le 10/02/2012, à 18:26

Tomzz a écrit :

Bonjour,
pinballyoda ㋛ a écrit :
Vous voulez quoi : que SFR tire une deuxième ligne physique (+ une ligne électrique) jusqu'à chez vous, juste pour le hotspot ?
Pourtant c'est possible, Free le fait

Free tire 2 lignes ?

Je répondais au fait que l'abonné "paye". D'ailleurs, chez free aussi, les abonnées payent pour la bande passante du hotspot.

Tomzz · Le 10/02/2012, à 18:42

Free tire 2 lignes ?

Oui: une physique puis une virtuelle VPN.

PS: pas taper, je sais bien qu'il ne tire même pas la ligne physique, c’était juste pour nourrir le troll

Je répondais au fait que l'abonné "paye". D'ailleurs, chez free aussi, les abonnées payent pour la bande passante du hotspot.

effectivement je n'avais pas compris ta réponse en ce sens.
Je croyais que tu doutais de la possibilité d'avoir deux IP distinctes.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/02/2012, à 15:27

Faille SFRBox !!!

#2 Le 06/02/2012, à 17:10

Re : Faille SFRBox !!!

#3 Le 06/02/2012, à 17:11

Re : Faille SFRBox !!!

#4 Le 06/02/2012, à 17:30

Re : Faille SFRBox !!!

#5 Le 06/02/2012, à 18:01

Re : Faille SFRBox !!!

#6 Le 06/02/2012, à 18:38

Re : Faille SFRBox !!!

#7 Le 06/02/2012, à 19:01

Re : Faille SFRBox !!!

#8 Le 06/02/2012, à 19:22

Re : Faille SFRBox !!!

#9 Le 06/02/2012, à 19:47

Re : Faille SFRBox !!!

#10 Le 06/02/2012, à 22:15

Re : Faille SFRBox !!!

#11 Le 07/02/2012, à 00:28

Re : Faille SFRBox !!!

#12 Le 07/02/2012, à 22:10

Re : Faille SFRBox !!!

#13 Le 08/02/2012, à 01:57

Re : Faille SFRBox !!!

#14 Le 08/02/2012, à 18:25

Re : Faille SFRBox !!!

#15 Le 09/02/2012, à 10:24

Re : Faille SFRBox !!!

#16 Le 10/02/2012, à 00:53

Re : Faille SFRBox !!!

#17 Le 10/02/2012, à 01:05

Re : Faille SFRBox !!!

#18 Le 10/02/2012, à 03:47

Re : Faille SFRBox !!!

#19 Le 10/02/2012, à 04:00

Re : Faille SFRBox !!!

#20 Le 10/02/2012, à 09:40

Re : Faille SFRBox !!!

#21 Le 10/02/2012, à 17:23

Re : Faille SFRBox !!!

#22 Le 10/02/2012, à 17:44

Re : Faille SFRBox !!!

#23 Le 10/02/2012, à 18:20

Re : Faille SFRBox !!!

#24 Le 10/02/2012, à 18:26

Re : Faille SFRBox !!!

#25 Le 10/02/2012, à 18:42

Re : Faille SFRBox !!!

Pied de page des forums